Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Open Source

Open Source

Peneliti membajak paket PHP Packagist populer untuk mendapatkan pekerjaan

by

Seorang peneliti membajak lebih dari selusin paket Packagist — dengan beberapa telah diinstal ratusan juta kali selama masa pakainya.

Peneliti menjangkau BleepingComputer yang menyatakan bahwa dengan membajak paket-paket ini dia berharap mendapatkan pekerjaan. Dan, dia tampaknya cukup yakin bahwa ini akan berhasil.

seorang peneliti dengan nama samaran ‘neskafe3v1’ menghubungi BleepingComputer menyatakan bahwa dia telah mengambil lebih dari empat belas paket Packagist, dengan salah satunya memiliki lebih dari 500 juta pemasangan.

Packagist adalah registry utama paket PHP yang dapat diinstal melalui Composer, alat manajemen ketergantungan. Daripada menghosting paket-paket ini, Packagist lebih berfungsi sebagai direktori metadata yang mengumpulkan paket-paket open source yang dipublikasikan ke GitHub. Paket-paket ini kemudian dapat diinstal oleh pengembang di mesin mereka dengan menjalankan perintah instal komposer.

Proses penerbitan di Packagist sedikit berbeda dengan yang ada di repo open source seperti npm atau PyPI. Seorang pengembang, sebagai lawan mengunggah binari atau rilis perangkat lunak langsung ke Packagist.org, cukup membuat akun Packagist.org, dan “mengirimkan” tautan ke repo GitHub mereka untuk paket tertentu. Perayap Packagist kemudian mengunjungi repo yang disediakan dan mengumpulkan semua data untuk ditampilkan di halaman Packagist untuk paket itu.

Ketika pengembang menjalankan Komposer dengan perintah ‘instal’ atau ‘perbarui’, instance Komposer mereka mungkin pertama-tama mencari keberadaan paket secara lokal, jika gagal, secara default akan mencari di Packagist untuk paket ini dan mengambil URL GitHub yang terdaftar untuk paket itu . Isi paket kemudian diunduh dari repo GitHub ini yang terdaftar di halaman Paket Paket.

Ini sangat kontras dengan cara kerja npm atau PyPI—yaitu, pendaftar ini menghosting dan mendistribusikan rilis perangkat lunak langsung dari server mereka.

selengkapnya : bleepingcomputer.com

Dalam surat kepada UE, badan sumber terbuka mengatakan Cyber Resilience Act dapat memiliki ‘efek dingin’ pada pengembangan perangkat lunak

by

Lebih dari selusin badan industri open source telah menerbitkan surat terbuka yang meminta Komisi Eropa (EC) untuk mempertimbangkan kembali aspek-aspek dari Cyber Resilience Act (CRA) yang diusulkan, dengan mengatakan bahwa itu akan memiliki “efek dingin” pada pengembangan perangkat lunak open source jika diterapkan di bentuknya saat ini.

Tiga belas organisasi, termasuk Eclipse Foundation, Linux Foundation Europe, dan Open Source Initiative (OSI), juga mencatat bahwa Cyber Resilience Act sebagaimana tertulis “menimbulkan risiko ekonomi dan teknologi yang tidak perlu bagi UE.”

Tampaknya, tujuan dari surat tersebut adalah agar komunitas open source mendapatkan suara yang lebih besar dalam evolusi CRA seiring perkembangannya melalui Parlemen Eropa.

Adapun Undang-Undang Ketahanan Cyber, pesan dari komunitas perangkat lunak open source cukup jelas – mereka merasa bahwa suara merek tidak didengar, dan jika perubahan tidak dilakukan pada undang undang yang diusulkan maka itu bisa berdampak besar.

selengkapnya : techcrunch.com

Cacat RCE Kritis Dilaporkan di Katalog Software Backstage dan Platform Developer Spotify

by

Backstage Spotify telah ditemukan rentan terhadap kelemahan keamanan parah yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh dengan memanfaatkan bug yang baru-baru ini diungkapkan dalam modul pihak ketiga.

Kerentanan (skor CVSS: 9.8) memanfaatkan pelarian kotak pasir kritis di vm2, perpustakaan kotak pasir JavaScript populer (CVE-2022-36067 alias Sandbreak), yang terungkap bulan lalu.

“Aktor ancaman yang tidak diautentikasi dapat menjalankan perintah sistem sewenang-wenang pada aplikasi Backstage dengan mengeksploitasi vm2 sandbox escape di plugin inti Scaffolder,” kata perusahaan keamanan aplikasi Oxeye dalam sebuah laporan yang dibagikan kepada The Hacker News.

Backstage adalah developer portal open source dari Spotify yang memungkinkan pengguna membuat, mengelola, dan menjelajahi komponen perangkat lunak dari “pintu depan” terpadu. Ini digunakan oleh banyak perusahaan seperti Netflix, DoorDash, Roku, dan Expedia, antara lain.

Menurut Oxeye, cacat tersebut berakar pada alat yang disebut templat perangkat lunak yang dapat digunakan untuk membuat komponen di dalam Backstage.

Backstage attack flow diagram (Oxeye)

Sementara mesin templat menggunakan vm2 untuk memitigasi risiko yang terkait dengan menjalankan kode yang tidak dipercaya, cacat pelarian kotak pasir pada yang terakhir memungkinkan untuk menjalankan perintah sistem yang sewenang-wenang di luar perimeter keamanan.

Oxeye mengatakan dapat mengidentifikasi lebih dari 500 contoh Backstage yang terbuka untuk umum di internet, yang kemudian dapat dipersenjatai dari jarak jauh oleh musuh tanpa memerlukan otorisasi apa pun.

Setelah pengungkapan yang bertanggung jawab pada 18 Agustus, masalah tersebut telah diatasi oleh pengelola proyek dalam versi 1.5.1 yang dirilis pada 29 Agustus 2022.

“Akar dari setiap pelarian VM berbasis template adalah mendapatkan hak eksekusi JavaScript di dalam template,” catat perusahaan Israel itu. “Dengan menggunakan mesin template ‘tanpa logika’ seperti Mustache, Anda dapat menghindari pengenalan kerentanan injeksi template sisi server.”

Sumber: The Hackernews

Google Memperluas Bug Bounty ke Proyek Open Source-nya

by

Google pada hari Senin memperkenalkan program bug bounty baru untuk proyek open source-nya, menawarkan pembayaran mulai dari $100 hingga $31.337 (referensi untuk eleet atau leet) untuk mengamankan ekosistem dari serangan rantai pasokan (supply chain).

Disebut Open Source Software Vulnerability Rewards Program (OSS VRP), penawaran ini adalah salah satu program kerentanan khusus open source pertama.

Dengan raksasa teknologi pengelola proyek-proyek besar seperti Angular, Bazel, Golang, Protocol Buffers, dan Fuchsia, program ini bertujuan untuk menghargai penemuan kerentanan yang jika tidak dapat memiliki dampak signifikan pada lanskap open source yang lebih besar.

Proyek lain yang dikelola oleh Google dan dihosting di repositori publik seperti GitHub serta dependensi pihak ketiga yang disertakan dalam proyek tersebut juga memenuhi syarat.

  • Kerentanan yang mengarah pada kompromi rantai pasokan
  • Masalah desain yang menyebabkan kerentanan produk
  • Masalah keamanan lainnya seperti kredensial yang sensitif atau bocor, kata sandi yang lemah, atau instalasi yang tidak aman

Meningkatkan komponen sumber terbuka, terutama perpustakaan pihak ketiga yang bertindak sebagai blok pembangun banyak perangkat lunak, telah muncul sebagai prioritas utama setelah eskalasi yang stabil dalam serangan rantai pasokan yang menargetkan Maven, NPM, PyPI, dan RubyGems.

Kerentanan Log4Shell di perpustakaan logging Java Log4j yang terungkap pada bulan Desember 2021 adalah contoh utama, menyebabkan kekacauan yang meluas dan menjadi seruan untuk meningkatkan status rantai pasokan perangkat lunak.

“Tahun lalu terjadi peningkatan 650% dari tahun ke tahun dalam serangan yang menargetkan rantai pasokan open source, termasuk insiden utama seperti Codecov dan kerentanan Log4j yang menunjukkan potensi destruktif dari satu kerentanan open source,” Francis Perron dan Krzysztof Kotowicz dari Google. dikatakan.

Langkah ini mengikuti program penghargaan serupa yang dilembagakan Google November lalu untuk mengungkap eskalasi hak istimewa dan Kubernetes lolos dari eksploitasi di Kernel Linux. Sejak itu telah menaikkan jumlah maksimum dari $50.337 menjadi $91.337 hingga akhir 2022.

Awal Mei ini, raksasa internet mengumumkan pembuatan “Kru Pemeliharaan Sumber Terbuka” baru untuk fokus pada peningkatan keamanan proyek sumber terbuka yang kritis.

Sumber: The Hackernews

Alat Keamanan Kubernetes Sumber Terbuka Teratas tahun 2021

by

Menurut survei kami baru-baru ini terhadap para pembuat keputusan TI, keamanan adalah area perhatian terbesar yang berkaitan dengan adopsi container, dengan masalah keamanan yang menyebabkan penundaan penerapan aplikasi di antara 54% responden.

Kubernetes, pertama dan terutama, adalah alat untuk pengembangan dan tim DevOps untuk mempercepat dan menskalakan pengembangan, penerapan, dan pengelolaan aplikasi dalam container. Penyedia seperti Red Hat, Amazon, Microsoft, dan Google telah menambahkan fitur keamanan untuk meningkatkan kemampuan dasar di Kubernetes. Pada saat yang sama, vendor keamanan komersial telah melangkah untuk menawarkan solusi keamanan yang siap untuk perusahaan untuk kasus penggunaan yang lebih maju.

Secara paralel, komunitas Kubernetes sangat aktif merilis alat keamanan open source untuk mengisi celah keamanan yang ada di Kubernetes. Pelanggan memiliki banyak pilihan alat keamanan sumber terbuka untuk dipilih, dan hasil survei Red Hat menunjukkan bahwa tidak ada alat keamanan sumber terbuka tunggal yang mendominasi pasar keamanan Kubernetes.

Di bawah ini, Anda akan menemukan sembilan alat keamanan Kubernetes open source terpopuler yang diidentifikasi oleh responden survei kami.

Sumber: RedHat

Selengkapnya: Red Hat

Repositori open source dapat menjadi vektor untuk kejahatan

by

Seorang peneliti telah menemukan paket palsu yang diunduh sekitar 5.000 kali dari repositori resmi Python berisi kode rahasia yang menginstal perangkat lunak cryptomining pada mesin yang terinfeksi.

Paket berbahaya, yang tersedia di repositori PyPI, dalam banyak kasus menggunakan nama yang meniru paket yang sah dan sering digunakan secara luas yang sudah tersedia di sana, Ax Sharma, seorang peneliti di perusahaan keamanan Sonatype melaporkan. Serangan typosquatting berhasil ketika target secara tidak sengaja salah mengetik nama seperti mengetik “mplatlib” atau “maratlib” alih-alih paket matplotlib yang sah dan populer.

Sharma mengatakan dia menemukan enam paket yang menginstal perangkat lunak cryptomining yang akan menggunakan sumber daya komputer yang terinfeksi untuk menambang cryptocurrency dan menyimpannya di dompet penyerang. Keenamnya diterbitkan oleh seseorang yang menggunakan nama pengguna PyPI nedog123, dalam beberapa kasus pada awal April. Paket dan nomor unduhan adalah:

  • maratlib: 2,371
  • maratlib1: 379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib: 318
  • learninglib: 626

Kode berbahaya terkandung dalam file setup.py dari masing-masing paket diatas. Ini menyebabkan komputer yang terinfeksi menggunakan ubqminer atau kriptominer T-Rex untuk menambang koin digital dan menyimpannya di alamat berikut: 0x510aec7f266557b7de753231820571b13eb31b57.

Selengkapnya: Ars Technica

Linux Foundation meluncurkan proyek infrastruktur pertanian open source

by

Linux Foundation telah membuka tutup pada proyek infrastruktur digital open source baru yang ditujukan untuk industri pertanian. AgStack Foundation, sebutan proyek baru ini akan dikenal, dirancang untuk mendorong kolaborasi di antara semua pemangku kepentingan utama dalam ruang pertanian global, yang mencakup bisnis swasta, pemerintah, dan akademisi.

Seperti halnya hampir semua industri lain dalam beberapa tahun terakhir, telah terjadi transformasi digital yang berkembang di seluruh sektor pertanian yang telah mengantarkan perangkat baru yang terhubung untuk petani dan berbagai AI dan alat otomatis untuk mengoptimalkan pertumbuhan tanaman dan menghindari hambatan kritis, seperti kekurangan tenaga kerja. Teknologi open source membawa manfaat tambahan dari data dan alat yang dapat digunakan kembali oleh pihak mana pun secara gratis, menurunkan penghalang untuk masuk dan membantu menjaga perusahaan agar tidak terkunci pada perangkat lunak berpemilik yang dioperasikan oleh segelintir pemain besar.

Didirikan pada tahun 2000, Linux Foundation adalah konsorsium nirlaba yang mendukung dan mempromosikan pertumbuhan komersial Linux dan teknologi sumber terbuka lainnya. Organisasi ini menyelenggarakan berbagai proyek individu yang mencakup hampir setiap sektor dan aplikasi, termasuk otomotif, jaringan nirkabel, dan keamanan.

AgStack Foundation akan difokuskan untuk mendukung pembuatan dan pemeliharaan infrastruktur digital gratis dan khusus sektor untuk aplikasi dan data terkait. Ini akan bersandar pada teknologi yang ada dan standar pertanian; data dan model publik; dan proyek sumber terbuka lainnya, seperti Kubernetes, Hyperledger, Open Horizon, Postgres, dan Django, menurut sebuah pernyataan.

selengkapnya : venturebeat.com

Linux melarang University of Minnesota karena memasukkan kode berbahaya

by

Dalam keputusan yang sangat langka dan inovatif, pengelola proyek kernel Linux Greg Kroah-Hartman, telah memberlakukan larangan pada University of Minnesota (UMN) untuk berkontribusi pada proyek Linux sumber terbuka.

Langkah ini dilakukan setelah sekelompok peneliti UMN kedapatan mengirimkan serangkaian kode berbahaya, atau tambalan yang sengaja menyebabkan kerentanan keamanan di basis kode Linux resmi, sebagai bagian dari aktivitas penelitian mereka.

Selain itu, pengelola proyek kernel Linux telah memutuskan untuk mengembalikan setiap dan semua kode yang pernah dikirimkan dari alamat email @umn.edu.

Pada Februari 2021, peneliti UMN menerbitkan makalah penelitian berjudul, “Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits.”

Fokus dari penelitian ini adalah untuk sengaja memperkenalkan kerentanan keamanan yang diketahui di kernel Linux, dengan mengirimkan tambalan kode yang berbahaya atau tidak aman.

Tak lama kemudian, peneliti Aditya Pakki dari UMN mendesak kembali meminta Kroah-Hartman menahan diri “dari membuat tuduhan liar yang berbatasan dengan fitnah”.

Di mana Kroah-Hartman menjawab bahwa komunitas pengembang kernel Linux tidak menghargai percobaan dengan cara ini.

Saat dihubungi oleh BleepingComputer, Kroah-Hartman memilih untuk tidak memberikan komentar lebih lanjut tentang situasi tersebut.

Selengkapnya: Bleeping Computer